Lexipedia

Kreisschreiben Nr. 7.1 vom 2015.12.17

U Schweizerische Eidgenossenschaft Eidgenössisches Departement des Innern EDt

Confédération suisse Bundesamt fiir Gesundheit BAG

Confederazione Svizzera Direktionsbereich Kranken- und Unfaliverischerung Confederaziun svizra

CH-3003 Bern BAG

An die KVG Versicherer und ihre Rückversicherer

Referenz/Aktenzeichen: Unser Zeichen: Sachbearbeiterin: Lp Bern, 17. Dezember 2015

Kreisschreiben Nr.: 74 Inkrafttreten: 1. Januar 2016

Datenschutzkonforme Organisation und Prozesse der Krankenversi- cherer

1. Ausgangslage

Die bisherigen Datenschutzerhebungen und Kontrollmassnahmen des BAG haben gezeigt, dass die Krankenversicherer den Datenschutz trotz sehr unterschiedlicher Organisationsstrukturen über weite Strecken sicherstellen. Es wurde aber auch festgestellt, dass in einigen sensiblen Bereichen noch Ver- besserungspotential besteht. Früher abgegebene Empfehlungen sind deshalb immer noch gültig:

+ Das BAG empfiehlt den Krankenversicherern, ein Datenschutzkonzept (eine Strategie) zu erar- beiten.

« Die Krankenversicherer sind verpflichtet, ein Verzeichnis der Datensammlungen zu unterhalten. Für jede Datensammlung mit besonders schützenswerten Personendaten ist ein Bearbeitungs- reglement zu erstellen (Beschreibung der Prozesse inkl. Verantwortlichkeiten, Berechtigungen, Datenfluss sowie der technischen Massnahmen zur Datensicherheit). Das Bearbeitungsregle- ment muss regelmässig aktualisiert werden.

* Das BAG empfiehlt den Krankenversicherern, eine verantwortliche Person für den Datenschutz zu bezeichnen. Die Aufgaben dieses Datenschutzverantwortlichen sind in einem Pflichtenheft zu umschreiben.

+ Datenschutzverantwortliche müssen über die erforderlichen Fachkenntnisse verfügen.

+ Es sollen von einer dafür spezialisierten Stelle regelmässig externe Datenschutzaudits durch- geführt und die Resultate den Aufsichtsbehörden unterbreitet werden.

Bundesamt für Gesundheit Schwarzenburgstrasse 157, 3003 Bern

Tel. +41 58 463 70 66, Fax +41 58 462 90 20 www.bag.admin.ch

Das BAG empfiehlt den Krankenversicherern laufend weitere Massnahmen zur Verbesserung der Da- tenschutzkonformität ihrer Organisation und / oder ihrer Prozesse einzuleiten und umzusetzen. Zur För- derung dieser Entwicklung weist das vorliegende Kreisschreiben und dessen Anhänge 1 - 8 die Kran- kenversicherer auf die für sie geltenden Datenschutzbestimmungen hin, welche sich aus den verschie- denen Bundeserlassen! ergeben. Neuere Datenschutzbestimmungen sind mit fetter Schrift hervorge- hoben.

In Zusammenhang mit der Einführung der diagnosebezogenen Fallpauschalen (SwissDRG) im Rahmen der neuen Spitalfinanzierung hat der Bundesrat die Artikel 59 ff KVV angepasst. Diese Anpassungen betreffen insbesondere den Datenschutz im Rahmen der Rechnungsstellung bei einem Vergütungsmo- dell vom Typus DRG und werden im Anhang 8 erläutert.

2. Datenschutz- und Datensicherheitskonzept

Art. 846 KVG / Art. 2, 3, 4, 5, 7 DSG / Art. 8 -10, 20 + 21 VDSG

Das BAG empfiehlt allen Krankenversicherern, ein umfassendes ganzheitliches Datenschutz- und Si- cherheitskonzept zu erarbeiten. Datensicherheit ist ein wesentlicher Bestandteil des Datenschutzes.

Ein Datenschutz- und Sicherheitskonzept gibt Auskunft über die mittel- und langfristige Strategie zur Umsetzung des Datenschutzes und der Datensicherheit im Betrieb, beschreibt die Organisation des Datenschutzes sowie die datenschutzkonforme Ausgestaltung der Datenflüsse. Zudem leiten sich dar- aus insbesondere die Aufgaben der Personen ab, die innerhalb des Krankenversicherers für den Da- tenschutz verantwortlich und für die Datensammlungen zuständig sind.

Ein solches Konzept ist zwar gesetzlich nicht vorgeschrieben, es ist aber ein wichtiger Grundstein für den Datenschutz und die Datensicherheit im Betrieb. Gestützt darauf kann der Datenschutz betriebsin- tern in die Geschäftsabläufe integriert werden. Das Datenschutz- und Sicherheitskonzept bzw. Teile davon kann anschliessend in Richtlinien für die Mitarbeitenden, Sicherheits- und Informationsschutz- richtlinien für die Informatik und andere Bereiche sowie in Bearbeitungsreglementen (Art. 11 und 21 VDSG, Art. 84b KVG) umgesetzt werden.

Die Umsetzung des Datenschutz- und Sicherheitskonzepts erfordert auch technische und organisatori- sche Massnahmen. Die Krankenversicherer müssen die erforderlichen Mittel zur Umsetzung der tech- nischen und organisatorischen Massnahmen bereitstellen (Art. 7 DSG).

Ein Leitfaden des EDÖB zu den technischen und organisatorischen Massnahmen des Datenschutzes sowie Angaben, was in einem Bearbeitungsreglement aufgeführt werden muss, ist unter folgenden Link

abrufbar:

1 Vgl. Anhänge 1 + 2

Kreisschreiben Nr. 7.1

3. Bearbeitungsreglemente

Artikel 21 VDSG schreibt den Krankenversicherern vor, für automatisierte Datensammlungen, die be- sonders schützenswerte Daten und Persönlichkeitsprofile enthalten, oder mit anderen Datensammlun- gen verknüpft sind, ein Bearbeitungsreglement zu erstellen. Dieses Reglement beinhaltet Angaben über die interne Organisation des Krankenversicherers, sowie über die Struktur, in welche die Datensamm- lung oder das automatisierte Bearbeitungssystem eingebettet ist. Es beschreibt die Datenbearbeitungs- und Kontrollprozesse, und enthält alle Unterlagen über die Planung, Realisierung und den Betrieb der Datensammlung und der eingesetzten Informatikmittel. Es regelt namentlich Art und Umfang der Zu- griffsberechtigung auf Personendaten. Das Reglement muss regelmässig angepasst bzw. nachgeführt werden und dem EDOB in verständlicher Form jederzeit zur Verfügung stehen. Eine Reglementsanpas- sung ist insbesondere in Bezug auf die Verfahren für die Bearbeitung und Kontrolle der Rechnungen bei einem Vergütungsmodell vom Typus DRG vorzunehmen (vgl. dazu Anhang 8).

Das Sicherstellen der Vollständigkeit und der Aktualität der Bearbeitungsreglemente ist eine Hauptauf- gabe der/des Datenschutzbeauftragten des Krankenversicherers und dient als eigentliche Grundlage für den gesetzeskonformen Betrieb bzw. die gesetzeskonforme Nutzung einer Datensammlung mit schützenswerten Personendaten.

Artikel 84b KVG wiederholt und verdeutlicht diese bereits gemäss VDSG bestehenden Verpflichtungen der Krankenversicherer, präzisiert jedoch zusätzlich, dass die Bearbeitungsreglemente dem EDÖB zur Beurteilung vorzulegen sind und öffentlich zugänglich sein müssen.

Aufgrund dieser Vorgaben müssen die Krankenversicherer ihre Bearbeitungsreglemente dem EDÖB unaufgefordert zur Beurteilung vorlegen. Dies gilt ebenfalls für angepasste Bearbeitungsreglemente in Bezug auf die Verfahren für die Bearbeitung und Kontrolle der Rechnungen bei einem Vergütungsmo- dell vom Typus DRG. Das Bearbeitungsreglement ist aber bereits gültig, wenn der Krankenversicherer es für verbindlich erklärt hat.

Überdies müssen die Krankenversicherer die Bearbeitungsreglemente veröffentlichen. Sie haben diese den interessierten Personen mittels Publikation auf dem Internet oder in anderer Form zugänglich zu machen. Die Pflicht zur Veröffentlichung besteht unabhängig von einer durch den EDÖB durchgeführten Beurteilung. Eine Bekanntgabe des Bearbeitungsreglements auf Anfrage genügt nicht. Der Kranken- versicherer kann Geschäftsgeheimnisse von der Veröffentlichung ausnehmen.

Ein Bearbeitungsreglement kann für mehrere Datensammlungen gültig sein, wenn das Reglement tat-

sächlich für die bezeichneten Datensammlungen zur Anwendung gelangt und für jede betreffende Da- tensammlung die Erfordernisse von Artikel 21 Absatz 2 VDSG erfüllt.

Kreisschreiben Nr. 7.1

4. Verzicht auf die Anmeldung der Datensammiungen - Meldung einer für den Datenschutz ver- antwortlichen Person

Das DSG ermöglicht die Selbstregulierung der Unternehmen im Bereich Datenschutz: Es liegt in der Verantwortung des Krankenversicherers, dafür zu sorgen, dass die Grundsätze und Vorgaben der Da- tenschutzgesetzgebung eingehalten werden. Der Krankenversicherer ist als Inhaber der Datensamm- lung von der Pflicht zur Anmeldung der Datensammlungen befreit, wenn er eine für den betrieblichen Datenschutz verantwortliche Person bezeichnet hat, die unabhängig die betriebsinterne Einhaltung der Datenschutzvorschriften überwacht, Verzeichnisse der Datensammiungen führt und diese Person dem EDÖB gemeldet hat.

Die für den betrieblichen Datenschutz verantwortliche Person ist entgegen der Bezeichnung nicht ver- antwortlich für den Datenschutz im Betrieb, sondern hat die Rolle einer Beraterin oder eines Beraters, bzw. einer Aufsichtsstelle (vgl. die französische Version im DSG: conseiller a la protection des données). Die Verantwortung für die Einhaltung der Bestimmungen zum Datenschutz bleibt in jedem Fall beim Inhaber der Datensammlung, also beim Krankenversicherer bzw. bei seinem leitenden Organ (Art. 16 Abs. 1 DSG).

Die oder der Datenschutzverantwortliche muss ihre/seine Funktion organisatorisch und fachlich unab- hängig ausüben können. Ein möglicher Interessenkonflikt muss bereits durch ihre/seine organisatori- sche Stellung innerhalb des Krankenversicherers vermieden werden. Deshalb sollte ihre/seine Stelle ausserhalb der Linienverantwortlichkeit stehen. Empfohlen wird eine Stabstelle, eine Stelle in der Rechtsabteilung oder in der IT-Abteilung oder eine externe Stelle. Die Rolle und Funktion der für den Datenschutz verantwortlichen Person ist in einem Pflichtenheft zu definieren.

Weiterführende Informationen finden Sie im Anhang 3 und in den Empfehlungen des EDÖB unter fol- genden Link:

5. Outsourcing

Outsourcing umfasst die Auslagerung von Dienstleistungen, die bisher von den Krankenversicherern selber erbracht wurden oder die sie gemäss gesetzlichen Vorgaben erbringen müssen, auf einen exter- nen Dienstleister (unternehmensexternes Outsourcing) oder auf eine Gesellschaft derselben Versiche- rungsgruppe (unternehmensinternes Outsourcing).

Das Bearbeiten von Personendaten kann durch Vereinbarung oder Gesetz Dritten übertragen werden, wenn die Daten nur so bearbeilet werden, wie es der Krankenversicherer selber tun dürfte und keine gesetzliche oder vertragliche Geheimhaltungspflicht dies verbietet (Art. 10a DSG). Dies ist im Outsour- cingvertrag schriftlich festzuhalten. Artikel 84 KVG erlaubt den Krankenversicherern, Personendaten einschliesslich besonders schützenswerter Daten und Persönlichkeitsprofile durch Dritte bearbeiten zu lassen.

Kreisschreiben Nr. 7.1

Der Krankenversicherer hat den Dienstleister sorgfältig auszuwählen, zu instruieren und zu überwa- chen. Er hat die Dienstleister regelmässig zu auditieren. Schnittstellen, Verantwortlichkeiten, Zustän- digkeiten und Haftungsfragen sind vertraglich zu regeln bzw. abzugrenzen. Die ausgelagerte Funktion ist in das interne Kontrolisystem des Krankenversicherers zu integrieren.

Im Vertrag ist der Bearbeitungszweck für die Daten genau zu umschreiben und der Dienstleister zu verpflichten, die Daten nur zweck- und weisungsgebunden zu bearbeiten. Damit ist die Verwendung für eigene oder fremde Zwecke des Dienstleisters ausgeschlossen. Der Dienstleister ist mitsamt den Mit- arbeitenden, Hilfspersonen und beigezogenen Dritten funktionell in die Schweigepflicht und das be- reichsspezifische Datenschutzrecht des Krankenversicherers einzubinden. Die Mitarbeitenden des Dienstleisters, Hilfspersonen und beigezogene Dritte sind vertraglich und nötigenfalls einzelunterschrift- lich zur Geheimhaltung zu verpflichten. Werden die Aufgaben des Vertrauensarztes ausgelagert, so sind die Mitarbeitenden des beigezogenen Dienstleisters mittels Geheimhaltungserklärung mit Einzel- unterschrift in die Geheimhaltungsverpflichtungen des Vertrauensarztes einzubinden.

Auch bei Mitarbeitenden von externen Dienstleistern im IT-Bereich mit umfassenden Einsichts- oder Bearbeitungsrechten (z.B. Datenbank- oder Netzwerkadministratoren) sind die Geheimhaltungsver- pflichtungen mittels Einzelunterschrift zu regeln.

Der Krankenversicherer muss sich vergewissern, dass der Dienstleister die Datensicherheit und den Datenschutz gewährleistet. Die Sicherheitsstandards für den Datenaustausch und die Sicherheitsanfor- derungen, die der Dienstleister zu erfüllen hat, müssen schriftlich definiert werden. Personendaten der Versicherten müssen durch angemessene, technische, personelle und organisatorische Massnahmen gegen unbefugtes Bearbeiten geschützt werden. Der Dienstleister muss den Datenschutz jederzeit ge- währleisten können (vgl. Art. 7 DSG; Art. 8 und 9 VDSG). Der Vertrag muss die Konsequenzen bei Nichteinhaltung der Datenschutzklauseln und bei Auflösung des Vertrags enthalten (Konventionalstra- fen, sofortige Sicherstellung von Daten, Auflösung des Vertrags, vollständige Vernichtung der Daten).

Der Dienstleister muss den Krankenversicherer regelmässig über die Datenbearbeitung informieren. Der auslagernde Krankenversicherer, dessen interne und externe Revisionsstelle sowie das BAG müs- sen den ausgelagerten Geschäftsbereich vollumfänglich, jederzeit und ungehindert einsehen und prü- fen können. Der Krankenversicherer muss sich die Einsichts-, Weisungs- und Kontrollrechte vom Dienstleister vertraglich einräumen lassen, damit er ein ordnungsgemässes Controlling gegenüber dem Dienstleister wahrnehmen kann. Der Krankenversicherer muss die ihm vertraglich zugesicherten Con- trolling-Möglichkeiten tatsächlich regelmässig z.B. in Form eines Audits wahrnehmen.

Die Auskunftspflicht des Krankenversicherers gegenüber den betroffenen Personen bleibt bestehen, da er auch Inhaber der Datensammlung bleibt, wenn Personendaten durch einen Dritten bearbeitet werden (Art. 8 Abs. 4 DSG). Der Krankenversicherer muss deshalb jederzeit Zugriff auf die Daten haben, was durch den Dienstleister sicherzustellen ist.

Der Krankenversicherer muss sowohl im Vertrag über den vom Outsourcing betroffenen Bereich als auch im Sicherheitsdispositiv die nötigen Vorkehren treffen, die ihn vor einem plötzlichen und unerwar- teten Ausstieg des Dienstleisters schützen und die Weiterführung des ausgelagerten Geschäftsbereichs mit der notwendigen Datensicherheit erlauben.

Auf das Auslagern der Bearbeitung von besonders schützenswerten Personendaten ins Ausland ist, wenn immer möglich, zu verzichten. Sollte dies ausnahmsweise der Fall sein, so ist Artikel 6 DSG be- sonders zu beachten. Die grenzüberschreitende Datenbekanntgabe ist nur unter bestimmten Voraus- setzungen und unter Einbezug des EDÖB zulässig. Personendaten dürfen nicht ins Ausland bekannt gegeben werden, wenn dadurch die Persönlichkeit der betroffenen Person schwerwiegend gefährdet würde, namentlich weil eine Gesetzgebung fehlt, die einen angemessenen Schutz gewährleistet (Art. 6 Absatz 1 DSG). Eine Staatenliste finden Sie unter:

Kreisschreiben Nr. 7.1

5/22.

Fehlt eine Gesetzgebung, die einen angemessenen Schutz gewährleistet, so können nach Artikel 6 Absatz 2 Bst. a-g DSG Personendaten nur dann ins Ausland bekannt gegeben werden, wenn alternative Voraussetzungen erfüllt sind.

Besondere Vorsicht besteht bei der Nutzung von echten Clouddiensten. Weitere Angaben finden Sie auf der Internetseite des EDÖB:

Der Krankenversicherer trägt als Inhaber der Datensammlung weiterhin die volle datenschutzrechtliche Verantwortung für den ausgelagerten Geschäftsbereich. Die Krankenversicherer müssen die Versicher- ten über ihre Outsourcingpraxis hinreichend informieren.

Diese Ausführungen gelten mit Ausnahme des Absatzes über die Einsichts- und Kontrolirechte des Versicherers insbesondere auch für einen Versicherer, welcher für die Umsetzung der Datenannahme- stelle nach Art. 59a KVV einen externen zertifizierten Dienstleister in Anspruch nimmt (vgl. Anhang 8). Die oben erwähnten Einsichts-, Weisungs- und Kontrollrechte des Versicherers gelten gegenüber der Datenannahmestelle nur beschränkt. Der Versicherer darf nicht über Kontroll- oder Einsichtsrechte zu Daten kommen, deren Geheimhaltung durch die Datenannahmestelle sichergestellt wird.

Auch für das Umsetzen des Auskunftsrechts gemäss Art. 8 DSG ist ein Bearbeitungsablauf zu installie-

ren, welcher garantiert, dass der Versicherer über diesen Weg nicht zu Informationen gelangen kann, die ihm nicht zustehen.

Kreisschreiben Nr. 7.1

6. Unabhängigkeit der Vertrauensärztin / des Vertrauensarztes und des vertrauensärztlichen Dienstes

Art. 321 StGB / Art. 57, 56, 42 Abs. 5 KVG

Die Vertrauensärztin oder der Vertrauensarzt gemäss Artikel 57 KVG ist ein besonderes Organ der sozialen Krankenversicherung. Ihre/seine Aufgaben werden in Artikel 57 Absätze 4 und 5 KVG um- schrieben. Danach berät sie/er den Versicherer in medizinischen Fachfragen sowie in Fragen der Ver- gütung und der Tarifanwendung. Zudem kommt ihr/ihm eine Uberwachungs- und Kontrollfunktion zu. Sie/er überprüft die Voraussetzungen der Leistungspflicht des Versicherers (Art. 57 Abs. 4 KVG). thr/ihm obliegt die Kontrolle der Wirksamkeit, Zweckmässigkeit und Wirtschaftlichkeit der Behandlung im Sinn von Artikel 32 und Artikel 56 KVG. Ihre/Seine Kompetenz beschränkt sich auf die Beantwortung medi- zinischer Fachfragen. In fachlicher Hinsicht kann ihr/ihm der Versicherer nichts vorschreiben. In ih- rem/seinem Urteil unabhängig, darf sie/er den zuständigen Stellen der Versicherer nur diejenigen An- gaben weitergeben, die notwendig sind, um über die Leistungspflicht zu entscheiden, die Vergütung festzusetzen, den Risikoausgleich zu berechnen oder eine Verfügung zu begründen. Dabei wahrt sie/er die Persönlichkeitsrechte der Versicherten (Art. 57 Abs. 7 KVG). Der Leistungserbringer ist in begrün- deten Fällen berechtigt und auf Verlangen der versicherten Person in jedem Fail verpflichtet, medizini- sche Angaben nur der Vertrauensärztin oder dem Vertrauensarzt bekannt zu geben (Art. 42 Abs. 5 KVG).

Die gesetzlich vorgeschriebene Unabhängigkeit der Vertrauensärztin oder des Vertrauensarztes muss sich auch in der Organisation des vertrauensärztlichen Dienstes (VAD) niederschlagen. Diese Unab- hängigkeit verlangt eigene Bearbeitungsreglemente, die klar umreissen, welche Kompetenzen und Auf- gaben den einzelnen Vertrauensärztinnen und -ärzten und ihren Hilfspersonen zukommen.

Räumlich müssen Lokale des VAD genügend abgetrennt und abschliessbar sein. Die Post darf nur durch Stellen des VAD geöffnet werden, und es muss jederzeit sichergestellt sein, dass medizinische Informationen den VAD nicht verlassen können. Ein unabhängiges Telefon- und Telefaxnetz ist unab- dingbar. Das Informatiksystem muss physisch so organisiert werden, dass die vom VAD erstellten Do- kumente nur auf eigenen Speichermedien archiviert werden, die wiederum nur den Mitarbeitern des VAD zugänglich sind. Der Vertrauensärztin oder dem Vertrauensarzt muss zudem die Kompetenz zur Anstellung ihres/seines Hilfspersonals zukommen. Sie/er hat darauf zu achten, dass die Stellen der Hilfspersonen bezüglich ihrer fachlichen und organisatorischen Unterstellung sowie ihres Beschäfti- gungsgrades für den VAD so konzipiert sind, dass sich daraus keine Interessenkonflikte für die Hilfs- personen ergeben. Den bei der Rechnungskontrolle der Rechnungen des Typus DRG eingesetzten Spezialistinnen und Spezialisten (z.B. medizinische Codiererinnen und Codierer), die ihre Aufgaben sowohl für die Leistungsabteilung als auch den VAD ausüben, sind Arbeitsplätze in der Leistungsabtei- lung und im VAD einzurichten. Nur so kann sichergestellt werden, dass für den VAD bestimmte medizi- nische Informationen diesen nicht verlassen.

Die Vertrauensärztin oder der Vertrauensarzt und ihre Hilfspersonen machen sich strafbar, wenn sie das Berufsgeheimnis gemäss Artikel 321 des Strafgesetzbuchs (StGB) verletzen. Benützt eine Hilfsper- son die bei ihrer Tätigkeit für den Vertrauensarzt erhaltenen Personendaten für eine andere Tätigkeit beim selben oder bei einem anderen Versicherer, macht sie sich strafbar. Der Versicherer muss die als Hilfspersonen des Vertrauensarztes eingesetzten Mitarbeitenden ausdrücklich bezeichnen (Liste) und sie ausdrücklich auf ihre Position und rechtlichen Pflichten hinweisen. Geheimhaltungserklärungen mit Unterschrift der/des Mitarbeitenden sind zu begrüssen.

Vertrauensärzte und Vertrauensarztinnen nach Artikel 57 KVG sollten zur Vermeidung des Vorwurfs einer Risikoselektion keine Risikoprüfung bei neuen Versicherungsverträgen nach VVG vornehmen.

Kreisschreiben Nr. 7.1

7. Substantiierung bei der Rechnungsstellung

Artikel 42 Absatz 3 KVG hält fest, dass der Leistungserbringer dem Schuldner eine detaillierte und ver- ständliche Rechnung zustellen muss (Satz 1). Er muss ihm alle Angaben machen, die er benötigt, um die Berechnung der Vergütung und die Wirtschaftlichkeit der Leistung überprüfen zu können (Satz 2). Insbesondere verlangt Artikel 42 Absatz 3b KVG, dass die Leistungserbringer auf der Rechnung nach Absatz 3 die Diagnosen und Prozeduren nach den aktuellen Klassifikationen kodiert aufführen (für die Umsetzung dieser Bestimmung bezogen auf die Rechnungsstellung bei einem Vergütungsmodell vom Typus DRG vgl. Art. 59a KVV und Anhang 8). Diese Bestimmung ist derzeit aber nur im Bereich der stationären akutsomatischen Spitalbehandlungen anwendbar.

Die systematische Übermittlung von Diagnosen und Prozeduren ist derzeit nur im akutsomatischen sta- tionären Bereich zulässig, da in den anderen stationären Behandlungsbereichen zurzeit die ausführen- den Bestimmungen zur Erhebung, Bearbeitung und Weitergabe der Daten unter Wahrung des Verhält- nismässigkeitsprinzips (Art. 59a®'® KVV) fehlen. im ambulanten Bereich gelten die Bestimmungen des jeweils anzuwendenden Tarifvertrags (z.B TARMED).

Im Weiteren sieht Artikel 42 Absatz 4 KVG vor, dass der Krankenversicherer zusätzliche Auskünfte medizinischer Natur verlangen kann. Nach Artikel 42 Absatz 5 KVG ist der Leistungserbringer in be- gründeten Fällen berechtigt und auf Verlangen der versicherten Person in jedem Fall verpflichtet, me- dizinische Angaben nur der Vertrauensärztin oder dem Vertrauensarzt des Krankenversicherers be- kannt zu geben. Dies setzt voraus, dass der Krankenversicherer die versicherte Person darüber infor- miert, dass er zusätzliche Auskünfte medizinischer Natur vom Leistungserbringer anfordern wird, wel- che der Leistungserbringer auf Verlangen der versicherten Person nur der Vertrauensärztin oder dem Vertrauensarzt des Krankenversicherers bekannt geben darf .

In diesen Fällen müssen die Leistungserbringer den Vertrauensärztinnen und -ärzten die zur Erfüllung ihrer Aufgaben notwendigen Angaben liefern (Art. 57 Abs. 6 Satz 1 KVG). Diese Aufgaben beinhalten insbesondere die Beratung des Versicherers in Fragen der Vergütung und Tarifanwendung sowie die Überprüfung der Voraussetzung der Leistungspflicht (Art. 57 Abs. 4 KVG). Gemäss Kommentarliteratur schreiben alle diese Bestimmungen gegenüber den Leistungserbringern eine Offenbarungspflicht sowie eine Offenbarungsermächtigung vor. Der Leistungserbringer wird bei den Tatbeständen von Artikel 42 Absatz 3 Satz 2, Absatz 3s Satz 1 und Absatz 4 KVG sowie Artikel 57 Absatz 6 Satz 1 KVG im Verhältnis zum Krankenversicherer von seinem Berufsgeheimnis befreit, soweit es für den konkreten Fall notwendig ist. Die Offenbarung steht nicht im Belieben des Leistungserbringers, sondern ist gegen- über dem Krankenversicherer gesetzliche Pflicht?. Diese Bestimmungen, welche die Leistungserbringer verpflichten, alle leistungsrechtlich relevanten Daten bekannt zu geben, haben eine grosse Tragweite. Die Krankenversicherer sind deshalb berechtigt, eine substantiierte Rechnungsstellung im Sinne dieser Ausführungen zu verlangen und bis zu deren Erhalt keine Zahlung zu leisten.

8. Weiteres Vorgehen

Das BAG wird die Einhaltung der Vorgaben zum Datenschutz und zur Datensicherheit gemäss diesem Kreisschreiben weiterhin regelmässigen Prüfungen durch die Sektion Audit unterziehen. Es sind wei- terhin Sonderaudits mit Stichproben zum Umgang der Krankenversicherer mit den diagnosebezogenen Personendaten ihrer Versicherten geplant.

2 Datenschutz im Gesundheitswesen, éditeur: 8. Hüriimann/R. Jacobs/T. Poledna, Kapitel Datenschutz in der obligatorischen Krankenpflegeversicherung de G. Eugster/R. Luginbühl, p. 98 sv, Schulthess 2001

Kreisschreiben Nr. 7.1

Im Vorfeld dieser Prüfungen weisen wir die Krankenversicherer speziell darauf hin, dass die Verletzung der Schweigepflicht (Art. 33 ATSG) durch Personen, die an der Durchführung der sozialen Krankenver- sicherung beteiligt sind, als strafbares Verhalten (Übertretung) mit einer Busse geahndet wird (Art. 54 Abs. 1 Bst. d und Abs. 2 KVAG) und dass die Missachtung gesetzlicher Datenschutzvorschriften Auf- sichtsmassnahmen nach Artikel 38 und 39 KVAG nach sich ziehen. Das BAG kann die Öffentlichkeit über seine Massnahmen und strafrechtlichen Sanktionen informieren (Art. 37 KVAG).

Das vorliegende Kreisschreiben enthält die nötigen Anpassungen an das KVAG und die KVAV in den Ziffern 5 und 8 sowie im Anhang 1, 2, 6, 7 und 8. Es ersetzt das Kreisschreiben 7.1 vom 1. November 2014.

Leiter Direktionsbereich Kranken- Abteilung Versicherungsaufsicht und Unfallversicherung Die Leiterin

Oliver Peters Helga Portmann Vizedirektor Mitglied der Geschäftsleitung

Beilagen: Anhänge 1 - 8

Kreisschreiben Nr. 7.1

Anhang 1: Gesetzliche Grundlagen mit den massgebenden Datenschutzbestimmun-

gen

Bundesgesetz vom 6. Oktober 2000 über den Allgemeinen Teil des Soziatversicherungsrechts (ATSG, SR 830.1)

Verordnung vom 11. September 2002 über den Allgemeinen Teil des Sozialversicherungsrechts (ATSV, SR 830.11)

Bundesgesetz vom 18. März 1994 über die Krankenversicherung (KVG, SR 832.10) Verordnung vom 27. Juni 1995 über die Krankenversicherung (KVV, SR 832.102)

Verordnung vom 12. April 1995 über den Risikoausgleich in der Krankenversicherung (VORA, SR 832.112.1)

Verordnung vom 14. Februar 2007 über die Versichertenkarte für die obligatorische Krankenpfle- geversicherung (VVK, SR 832.105)

Verordnung des Eidgenössischen Departements des Innern (EDI) vom 29. September 1995 über Leistungen in der obligatorischen Krankenpflegeversicherung (KLV, SR 832.112.31) Verordnung des EDI vom 20. März 2008 über die technischen und grafischen Anforderungen an die Versichertenkarte für die obligatorische Krankenpflegeversicherung (VVK-EDI, SR 832.105.1) Verordnung des EDI vom 13. November 2012 über den Datenaustausch für die Prämienverbilli- gung (VDPV-EDI, SR 832.102.2)

Verordnung des EDI vom 20. November 2012 über die Datensätze für die Datenweitergabe zwi- schen Leistungserbringern und Versicherern (SR 832.102.14)

Bundesgesetz vom 26. September 2014 betreffend die Aufsicht über die soziale Krankenversi- cherung (KVAG, SR..)

Verordnung vom 18. November 2015 betreffend die Aufsicht über die soziale Krankenversiche- rung (KVAV, SR...)

Bundesgesetz vom 19. Juni 1992 über den Datenschutz (DSG, SR 235.1)

Verordnung vom 14. Juni 1993 zum Bundesgesetz über den Datenschutz (VDSG, SR 235.11) Verordnung vom 28. September 2007 über die Datenschutzzertifizierungen (VDSZ, SR 235.13)

Kreisschreiben Nr. 7.1

Anhang 2: Kommentar zu den massgebenden Datenbearbeitungsgrundsätzen und - vorgaben

Art. 28, 31, 32, 33, 47 ATSG / Art. 8, 9 ATSV / Art. 42 Abs..3-5°, 42a, 57 Abs. 6, 7* und 8, 82, 849, 84a°, 84b’ KVG / Art.6a, 28 ®, 59°, 59a” ff, 76, 120 KVV / Art.2, 3, 4, 5, 7, 8, 9"', 10a, 11,112, 16, 17, 18a'2, 186", 19, 20, 22, 25, 27, 35 DSG / Art1, 2, 8, 9, 10, 12a, 12, 16, 18, 20, 21, 22, 23, 2414, 28, 34, 35 VDSG / VDSZ

® Krankenversicherer, welche die obligatorische Krankenpflegeversicherung und die freiwillige Taggeldversicherung nach dem KVG durchführen, sind im Rahmen der gesetzlichen Bestim- mungen befugt, besonders schützenswerte Personendaten'5 und Persönlichkeitsprofile!® der Versicherten zu bearbeiten oder bearbeiten zu lassen. So z.B. gestützt auf Artikel 42 Ab- sätze 3-5, Artikel 42a, Artikel 56, Artikel 57 Absätze 4, 6 und 7, Artikel 58 Absatz 3, Artikel 59, 82, 83, 84, 84a und 84b KVG. Dabei sind sie an die datenschutzrechtlichen Grundsätze wie das Legalitätsprinzip, das Verhältnismässigkeitsprinzip, das Zweckbindungsgebot, den Grund- satz von Treu und Glauben, das Transparenzprinzip, die Datenrichtigkeit und die Datensicher- heit gebunden (Art. 4, 5, 7 DSG).

e Als Durchführungsorgane der sozialen Krankenversicherung nehmen die Versicherer eine öf- fentliche Aufgabe des Bundes im Sinne von Artikel 2 Absatz 1 Buchstabe b und Artikel 3 Buch- stabe h DSG wahr und sind als solche dem Legalitätsprinzip unterstelit, das Folgendes vor- sieht: Werden Personendaten durch die Versicherer bearbeitet, ist eine gesetzliche Grundlage nötig. Besonders schützenswerte Personendaten und Persönlichkeitsprofile im Sinn von Arti- kel 3 DSG dürfen nur bearbeitet werden, wenn ein formelles Gesetz dies ausdrücklich vorsieht. im Einzelfall können solche Daten auch bearbeitet werden, wenn die betroffene Person einge- willigt hat oder ihre Daten allgemein zugänglich gemacht und eine Bearbeitung nicht ausdrück- lich untersagt hat (Art. 4 Abs. 1 und Art. 17 Abs. 2 Bst. c DSG). Im KVG bildet insbesondere Artikel 84 die formellgesetzliche Grundlage für die Datenbearbeitung. Demnach dürfen die Ver- sicherer Personendaten nur im Rahmen der ihnen nach dem KVG übertragenen Aufgaben be- arbeiten (Art. 84 KVG). Unter den nicht abschliessend aufgeführten Durchführungsaufgaben wird auch die Berechnung des verfeinerten Risikoausgleichs aufgeführt (Art. 84 Bst. i KVG).

e Der Grundsatz der Bearbeitung nach Treu und Glauben (Art. 4 Abs. 2 DSG) erfordert, dass die Datenbearbeitung für die betroffene Person transparent sein muss, d.h. dass eine Daten-

3 Art. 42 Abs. 35 und 4 KVG: in Kraft seit 1.1.2013

4 Art. 57 Abs. 7 KVG (Ergänzung): in Kraft seit 1.1.2012

5 Art. 84 Einleitungssatz (Änderung per 1.1.2016) und Bst. i KVG (Ergänzung per 1.1.2012)

® Art. 84a Abs. 1 Einleitungssatz (Änderung per 1.1.2016)

7 Art. 84b KVG : in Kraft seit 1.1.2012

® Art. 28 KVV: in Kraft seit 1.1.2009

9 Art. 59 KVV, verschiedene Absätze in Kraft seit 1.1.2009 bzw. 1.1.2010 bzw. 1.1.2013

10 Art. 59a, 59abls, satel, KV: in Kraft seit 1.1.2013

" Art. 7a DSG (aufgehoben) und Art. 9 DSG (Änderung) per 1.12.2010

"2 Art. 18a DSG :In Kraft seit 1.12.2010

® Art. 185 DSG ln Kraft seit 1.12.2010

*# Art. 24 VDSG (Änderung) per 1.12.2010

* Art. 3 DSG: Besonders schützenswerte Personendaten sind Daten über religiöse, weltanschauliche, politische oder gewerk- schaftliche Ansichten oder Tätigkeiten, die Gesundheit, die Intimsphäre oder die Rassenzugehörigkeit, Massnahmen der sozia- ten Hilfe, administrative oder strafrechtliche Verfolgungen und Sanktionen.

"6 Art. 3 DSG: Ein Persönlichkeitsprofil ist eine Zusammenstellung von Daten, die eine Beurteilung wesentlicher Aspekte der Persönlichkeit einer natürlichen Person erlaubt.

Kreisschreiben Nr. 7.1

beschaffung und jede weitere Datenbearbeitung grundsätzlich für die betroffene Person erkenn- bar sein muss, die betroffene Person also aus den Umständen heraus damit rechnen musste oder sie entsprechend informiert bzw. aufgeklärt wird. Die betroffenen Personen sind über die Beschaffung und Bearbeitung von besonders schützenswerten Personendaten und von Per- sönlichkeitsprofilen zu informieren (Art. 14 DSG).

« Das Verhältnismässigkeitsprinzip verlangt, dass nur diejenigen Personendaten beschafft und bearbeitet werden, welche für einen bestimmten Zweck objektiv tatsächlich benötigt und geeig- net sind (Art. 4 Abs. 2 DSG). Personendaten dürfen nicht über den gesetzlich zugelassenen Umfang und die gesetzlich zulässige Dauer aufbewahrt werden. Bei der Bearbeitung von Ver- sichertendaten sind die Krankenversicherer verpflichtet, die Benutzerzugriffe ihrer Mitarbeiten- den entsprechend deren Funktionen sehr restriktiv zu regeln.

« Personendaten dürfen nur zu dem Zweck bearbeitet werden, der bei der Beschaffung angege- ben wurde, aus den Umständen ersichtlich oder gesetzlich vorgesehen ist (Zweckbindungs- gebot; Art. 4 Abs. 3 DSG). Die Personendaten dürfen nicht für andere als die ursprünglichen Zwecke bearbeitet werden.

« Wer Daten bearbeitet, hat sich zu vergewissern, dass diese richtig sind (Wahrheitsgebot; Art. 5 Abs. 1 DSG), und die von der Datenbearbeitung betroffenen Personen haben das Recht, eine Berichtigung von unrichtigen Daten zu verlangen (Art. 5 Abs. 2 DSG). Weiter haben diese das Recht, über alle diese Daten Auskunft zu verlangen (Art. 8 DSG). Die versicherte Person hat somit - unabhängig von einem Interessennachweis und jederzeit - das Recht, eine Kopie des gesamten Dossiers des Versicherers zu erhalten. Die Ausnahmen sind in Artikel 9 DSG gere- gelt.

e Die Krankenversicherer müssen ein Verzeichnis sämtlicher Datensammlungen führen und diese beim EDÖB zur Registrierung anmelden (Art. 11a DSG, Art. 16 VDSG). Sie sind von dieser Verpflichtung befreit, wenn sie eine für den betrieblichen Datenschutz verantwortliche Person bezeichnet haben, die unabhängig die betriebsinterne Einhaltung der Datenschutzvor- schriften überwacht und ein Verzeichnis der Datensammiungen führt, oder wenn sie aufgrund eines Zertifizierungsverfahrens nach Artikel 11 DSG ein Datenschutz-Qualitätszeichen erwor- ben haben und das Ergebnis der Bewertung dem EDÖB mitgeteilt haben (Art. 11a Abs. 2 und

5 Bst. e und fDSG)'®E.

« Sämtliche Mitarbeitenden eines Krankenversicherers unterstehen gemäss Artikel 33 ATSG der Schweigepflicht. Ein Verstoss gegen diese Norm hat strafrechtliche Konsequenzen zur Folge (Art. 54 Abs. 1 Bst. d KVAG). Zudem ist der Zugriff der berechtigten Mitarbeitenden des Kran- kenversicherers auf diejenigen Personendaten zu beschränken, welche diese zur Erfüllung ih- rer klar umschriebenen Aufgaben benötigen (Art. 9 Abs. 1 Bst. g VDSG). Zusätzlich sind die Vertrauensärztin oder der Vertrauensarzt und ihr Hilfspersonal an die Schweigepflicht gemäss Artikel 321 des Strafgesetzbuchs (StGB; SR 311.0) und somit an das Patientengeheimnis gebunden.

« Die Weitergabe von Personendaten an externe Stellen ist nur in einem sehr beschränkten Rahmen zulässig. Zu beachten sind dabei die Artikel 842 KVG (Datenbekanntgabe) in Abwei- chung von Artikel 33 ATSG (Schweigepflicht) und Artikel 82 KVG (besondere Amts- und Ver- waltungshilfe) ebenfalls in Abweichung zu Artikel 33 ATSG, Artikel 120 KVV (Informationspflicht der Krankenversicherer über die Datenbekanntgabe und geleistete Amts- und Verwaltungs- hilfe), Art. 32 Abs. 2 ATSG (Amts- und Verwaltungshilfe) sowie Artikel 47 ATSG (Akteneinsicht).

77 Vgl. Anhang 3

18 Vgl. Anhang 4

Kreisschreiben Nr. 7.1 12/22

Artikel 84a KVG regelt, unter welchen abschliessenden Voraussetzungen die in dieser Bestim- mung genannten Organe (und nur diese) in Abweichung von der Schweigepflicht (Art. 33 ATSG) Personendaten genau definierten Dritten offenbaren dürfen. Eine Versicherungsgeselischaft, die Versicherungen nach VVG anbietet und der gleichen Versicherungsgruppe angehört wie der Krankenversicherer, ist eine Dritte im Sinn von Art. 84a Abs. 5 KVG. Bietet der Krankenver- sicherer selber solche Versicherungen nach VVG an, gelten die oben genannten Grundsätze, so insbesondere die Bearbeitung nach Treu und Glauben und das Zweckbindungsgebot. Dort, wo gleiche (automatisierte) Informationsflüsse für Personendaten aus der obligatorischen Kran- kenpflegeversicherung und den VVG-Versicherungen ein Datenmissbrauchspotential bergen, müssen getrennte Bearbeitungswege gewählt werden. Auch im Rahmen von Artikel 84a KVG sind, soweit das KVG keine Ausnahme vorsieht, die ob genannten Regeln des DSG zu beach- ten.

« Im Rahmen von Reorganisationen und Fusionen besteht das Risiko, dass Unberechtigte Zugriff auf personenbezogene Daten erhalten, dass zu viele Daten (zu früh oder den falschen Personen) bekannt gegeben werden, oder dass die Personendaten zweckentfremdet zum Ein- satz kommen. Es ist deshalb während Reorganisationen und Fusionen in allen Phasen darauf zu achten, dass übertragene Personendaten weiterhin nur zu dem Zweck bearbeitet werden, der bei der Beschaffung angegeben wurde, aus den Umständen ersichtlich oder gesetzlich vor- gesehen war (Art. 4 Abs. 2 DSG), und dass nur berechtigte Personen einen Zugriff auf die Daten erhalten. Entsprechende Empfehlungen des EDÖB zur Datenweitergabe im Rahmen von Unternehmenszusammenschlüssen finden Sie unter folgenden Link:

Kreisschreiben Nr. 7.1 13/22

Anhang 3: Checkliste Pflichtenheft der/des Datenschutzverantwortlichen

1. Ziel der Funktion

* Sicherstellen der Einhaltung der gesetzlichen Bestimmungen zum Datenschutz im Krankenver- sicherungsunternehmen. « Ansprechperson gegenüber dem EDÖB/BAG.

2. Kompetenzen und Verantwortung

« Kontrolle der Bearbeitung von Personendaten.

« Empfehlung von Massnahmen, falls die Gefahr besteht, dass Vorgaben bzw. Weisungen zum Datenschutz verletzt werden.

« Die/der betriebliche Datenschutzverantwortliche übt ihre/seine Funktion fachlich und organisa- torisch unabhängig aus, ohne diesbezüglich Weisungen oder Sanktionen des Inhabers der Da- tensammlung zu unterliegen.

« Sie/er übt keine Tätigkeiten aus, die mit ihren/seinen Aufgaben als Datenschutzverantwortli- che/n unvereinbar sind.

« Sie/er verfügt über die zur Erfüllung der Aufgaben erforderlichen Ressourcen.

+ Sie/er hat Zugang zu allen Datensammlungen und Datenbearbeitungen sowie zu allen Informa- tionen, die sie/er zur Erfüllung der Aufgaben benötigt: Umfassendes Einsichtsrecht in Doku- mente, Vorführungsrecht im Hinblick auf Datenverarbeitungssysteme, Auskunftsrecht gegen- über sämtlichen für die Datenbearbeitungen verantwortlichen Personen.

« Rapportieren der Situation im Datenschutz gegenüber dem Inhaber der Datensammlung (lei- tendes Organ).

3. Hauptaufgaben

* Prüfen aller Verträge und Vorhaben, die eine Bearbeitung von Personendaten beinhalten, auf Einhalten der gesetzlichen und der internen Bestimmungen zum Datenschutz. Durchführung einer Risikoanalyse (Risiko einer unbeabsichtigten oder unberechtigten Datenweitergabe, Da- tenlöschung oder Datenbearbeitung, eines Datenverlustes oder technischen Fehlers). Empfeh- lung von Korrekturmassnahmen bei Datenschutzverletzungen.

« Erlass von Weisungen und Richtlinien zum Datenschutz und zur Datensicherheit, regelmässige Aktualisierung der Bearbeitungsreglemente und der Datensammlungen mit besonders schüt- zenwerten Personendaten.

* Ständige Überprüfung und rechtliche Abgleichung der internen Datenschutzbestimmungen mit der Rechtsentwicklung.

* Schulen und Unterstützen der Mitarbeitenden in allen Fragen im Bereich Datenschutz. Sicher- stellen eines schnellen Informationsflusses zwischen der/dem Datenschutzverantwortlichen und der betroffenen Abteilung bei Datenschutzverletzungen.

« Sicherstellen der termingerechten und korrekten Beantwortung von Auskunftsbegehren ge- mäss Datenschutzgesetzgebung.

« Führen des Inventars der Datensammlungen im Unternehmen. Es wird empfohlen, mittels stan- dardisierten Formulars sämtliche vorhandenen und geplanten Datensammlungen und Daten- bearbeitungen zu erheben und damit Bestand, Mutationen und Löschungen der Datensamm- lungen zu überwachen. Die/der Datenschutzverantwortliche soll zu jeder Zeit einen Überblick darüber haben, welche Daten in welcher Abteilung bzw. in welchem Bereich bearbeitet werden. Das Inventar der Datensammlungen im Betrieb ist dem EDÖB oder betroffenen Personen, die ein entsprechendes Gesuch gemäss Art. 8 DSG stellen, zur Verfügung zu stellen.

Kreisschreiben Nr. 7.1 14/22

Anhang 4: Datenschutzmanagementsysteme und Datenschutzzertifizierungen

Um den Datenschutz und die Datensicherheit zu verbessern, können die Krankenversicherer bezüglich der Bearbeitung von Personendaten ihre Systeme, Verfahren und ihre Organisation einer Bewertung durch anerkannte unabhängige Zertifizierungsstellen unterziehen (Art. 11 DSG). Eine Datenannahme- stelle im Sinne von Artikel 59a Absatz 4 KVV muss zertifiziert werden (Art. 59a Abs. 6 KVV). Diese Zertifizierungsstellen müssen von der Schweizerischen Akkreditierungsstelle SAS anerkannt sein (mehr hierzu im Anhang 8).

Die Zertifizierung von Organisation und Verfahren im Sinne der Verordnung über die Datenschutzzerti- fizierungen (VDSZ) ist in den neuen Richtlinien des EDÖB über die Mindestanforderungen an das Da- tenschutzmanagementsystem (DSMS) (Art. 4 Abs. 3 VDSZ) und dem Leitfaden für das Datenschutz- management (Anhang zu den Richtlinien) ausgeführt, die unter folgender Adresse zugänglich sind:

http://www.edoeb.admin.ch/datenschutz/00756/00974/index.htmi

Die Richtlinien lehnen sich an die internationalen Normen für Managementsysteme, insbesondere ISO/IEC 27001:2013 (Informationssicherheit) an.

Die Zertifizierung im Sinne der VDSZ, das heisst also die Einführung und langfristige Aufrechterhaltung eines zuverlässigen und in die Unternehmensprozesse implementierten Datenschutzmanagementsys- tems (DSMS), führt in der Regel durch einen systematischen Ansatz bei der Bearbeitung von Perso- nendaten zu einer Kostenreduktion. Ausserdem erhöht sie die Sicherheit bei der Verwendung von Per- sonendaten (z.B. bei der Anwendung der Bestimmungen von Artikel 59 ff KVV bezüglich der Bearbei- tung und Aufbewahrung von diagnosebezogenen Daten) und gewährleistet eine konstante Überwa- chung der Unternehmensprozesse im Bereich des Datenschutzes im Hinblick auf deren kontinuierliche Verbesserung. Schliesslich kann eine Zertifizierung auch dem Image und dem Vertrauen von Partnern, Versicherten, Behörden und offiziellen Instanzen förderlich sein (Qualitätszeichen).

Zudem müssen die Versicherer ihre Datensammlungen nicht beim EDÖB anmelden, wenn sie aufgrund eines Zertifizierungsverfahrens nach Artikel 11 DSG ein Datenschutz-Qualitätszeichen erworben haben und das Ergebnis dem EDÖB mitgeteilt haben (Art. 11a Abs. 5 Bst. f DSG). Gerade den kleineren Krankenversicherern, welche nicht über einen betrieblichen Datenschutzverantwortlichen verfügen, ist ein Zertifizierungsverfahren zu empfehlen (im Bereich von Artikel 59a KVV besteht allerdings ein Zerti- fizierungsobligatorium, siehe Anhang 8).

Der Entscheid, eine Zertifizierung des Unternehmens als Ganzes oder bestimmter Verfahren bzw. Be- reiche durchzuführen, obliegt dem Versicherer. Die Zertifizierung und die Aufrechterhaltung ihrer Gül- tigkeit erfordern einen gewissen finanziellen und personellen Aufwand.

Die Höhe der Investition für eine Zertifizierung hängt von deren Umfang (das ganze Unternehmen oder nur bestimmte Verfahren bzw. Bereiche) sowie der Grösse und der Organisation des Versicherers ab. Hinzu kommen die personellen Ressourcen, die zur Ausarbeitung der Zertifizierungsdokumentation und zur Implementierung des Datenschutzmanagementsystems nötig sind.

Für die Aufrechterhaltung der Gültigkeit ist mit den Kosten für die jährlichen Zwischenaudits und den Personalressourcen für die Durchführung der Zwischenaudits sowie den Kosten für die regelmässige Aktualisierung der Dokumentation und die periodische Überwachung der korrekten Verwendung des Datenmanagementsystems (internes Audit, Management Review usw.) zu rechnen. Für die Ausführung

Kreisschreiben Nr. 7.1

dieser Aufgaben sollte der Krankenversicherer eine/n Datenschutzverantwortliche/n?? bezeichnen. Aus- serdem dürfen die Kosten für die Rezertifizierung (alle drei Jahre) nicht vergessen werden.

Über den folgenden Link können Sie Zertifizierungsstellen suchen, die von der Schweizerischen Akkre- ditierungsstelle SAS für die Zertifizierung von Managementsystemen akkreditiert sind:

8 Vgl. Anhang 3

Kreisschreiben Nr. 7.1 16/22

Anhang 5: Case Management Verschiedene Krankenversicherer bieten ein Case Management an.

Im Rahmen eines Case Management werden besonders schützenswerte Personendaten bearbeitet. Da die Case Manager sowohl im Interesse der betroffenen Person als auch des Versicherers handein und sich dabei Interessenskonflikte ergeben können, müssen die Grundsätze der Transparenz und der Zweckbindung (Art. 4 Abs. 2 und 3 DSG) besonders gewissenhaft beachtet werden. Speziell dabei ist, dass Case Manager von den Versicherern eingesetzt werden, um die durch einen Unfall oder eine Krankheit entstehenden Kosten möglichst gering zu halten, und um die betroffene Person so zu betreuen, dass sie möglichst rasch wieder gesund wird.

Damit die Case Manager die Datenbearbeitung legal vornehmen können, istes besonders wichtig, dass sie die betroffene Person über ihre Rolle, ihre Ziele, den Zweck der Datenbearbeitung und ihren Auf- traggeber, den Krankenversicherer, informieren. Die Personendaten dürfen nur für die Zwecke verwen- det werden, welche für die betroffene Person erkennbar sind. Case Manager dürfen sich somit gegen- über der betroffenen Person nicht nur als «Wohltäter/in» in einer schwierigen Situation präsentieren, sondern müssen mit der notwendigen Aufklärung für Transparenz sorgen.

Die fachliche und organisatorische Unterstellung der Case Manager und ihrer Hilfspersonen ist bei vie- len Versicherern zu überprüfen und zu korrigieren. Die Case Manager dürfen nicht mehr in der Leis- tungsabwicklung eingegliedert sein, sondern sind der Vertrauensärztin oder dem Vertrauensarzt zu un- terstellen. Es ist darauf zu achten, dass die Stellen der Case Manager sowie deren Hilfspersonen be- züglich ihrer fachlichen und organisatorischen Unterstellung sowie ihres Beschäftigungsgrades für das Case Management so konzipiert sind, dass sich daraus keine Interessenkonflikte für sie ergeben. Sie dürfen nicht mit verschiedenen Aufgaben betraut werden, die miteinander nicht kompatibel sind. Aus- serdem dürfen die Löhne (und Boni) der Case Manager nicht in einer Relation zu den für den Versiche- rer eingesparten Kosten stehen.

Kreisschreiben Nr. 7.1

17122

Anhang 6: Fragebogen zum Gesundheitszustand

Fragen zum Gesundheitszustand von Personen, die einen Antrag auf Aufnahme in die obligatorische Krankenpflegeversicherung stellen, widersprechen dem KVAG und dem Verhältnismässigkeitsprinzip. Auf diese Weise Gesundheitsdaten zu beschaffen, ist rechtswidrig.

Die Krankenversicherer dürfen sich bei der Aufnahme von versicherungspflichtigen Personen nicht über deren Gesundheitszustand informieren. Dieses Verbot ergibt sich aus der Pflicht nach Artikel 5 Buch- stabe i KVAG , jede versicherungspflichtige Person aufzunehmen, und aus dem Verhältnismässigkeits- prinzip gemäss Artikel 5 der Bundesverfassung (BV) vom 18. April 1999.

Fragen zum Gesundheitszustand dürfen bei der Aufnahme nur dann gestellt werden, wenn die versi- cherungspflichtige Person ausdrücklich ihr Interesse bekundet, eine Zusatzversicherung oder eine Tag- geldversicherung abzuschliessen. Der entsprechende Fragebogen darf sich nur auf die nicht obligato- rischen Versicherungen beziehen und muss dies klar angeben. Diese Beitrittsformulare mit Fragen zur Gesundheit sind strikt von den Beitrittsformularen für die obligatorische Krankenpflegeversicherung zu trennen.

Die Krankenversicherer müssen dafür sorgen, dass die von ihnen beauftragten Versicherungsvermittler sich nicht über den Gesundheitszustand von beitrittsinteressierten Personen informieren.

Wenn auf diese Weise bereits Gesundheitsdaten erhoben worden sind, sind die rechtswidrig beschaff-

ten Informationen und gegebenenfalls damit rechtswidrig betriebene Datensammlungen unverzüglich zu vernichten.

Kreisschreiben Nr. 7.1

Anhang 7: Ermächtigungsklauseln / Generalvollmachten

Art. 321 StGB / Art. 28 Abs. 3, 33 und 43 Abs. 3 ATSG / Art. 3 Bst. c Ziff. 2, 4 Abs. 5 und 12 ff DSG /

1. Vollmacht, Einwilligungsklauseln

Gemäss Artikel 33 ATSG haben die Versicherer gegenüber Dritten Verschwiegenheit zu bewahren. Sie dürfen Daten nur bekannt geben, wenn die in Artikel 84a KVG genannten Bedingungen erfüllt sind. Die Leistungserbringer und ihre Hilfspersonen unterstehen dem Berufsgeheimnis (Art. 321 StGB); die an- deren Akteure im Gesundheitsbereich (andere Sozialversicherungen, Privatversicherer) unterliegen ebenfalls der Schweigepflicht (Art. 33 ATSG, Art. 12 ff DSG). In der Praxis verlangen viele Krankenver- sicherer von ihren Versicherten die Unterzeichnung einer Vollmacht, die sie ermächtigt, bei Dritten In- formationen einzuholen oder Dritten Informationen bekannt zu geben. Eine solche Vollmacht muss die gesetzlichen Bedingungen erfüllen, insbesondere Artikel 4 DSG. Die Bearbeitung von Daten der versi- cherten Person ist also nur mit deren freien und aufgeklärten Einwilligung zulässig. Die Einwilligung ist aufgeklärt, wenn die Person zum Zeitpunkt der Einwilligung angemessen informiert worden ist, das heisst, wenn sie in der Lage ist, die Tragweite ihrer Einwilligung abzuschätzen, bzw. wenn sie erkennen kann, welche Daten weitergegeben werden können, welcher Personenkreis diese Informationen wei- tergeben darf und/oder welchem Personenkreis diese Informationen weitergegeben werden dürfen und was der Zweck der Datenweitergabe ist. Gesundheitsbezogene Daten sind besonders schützenswerte Personendaten im Sinne von Artikel 3 Buchstabe c Ziffer 2 DSG. Ihre Bearbeitung erfordert folglich die ausdrückliche Einwilligung der versicherten Person (Art. 4 Abs. 5 DSG).

2. Vollmacht zum Zeitpunkt des Beitritts

Gemäss Artikel 5 Buchstabe IKVAG müssen die Versicherer in ihrem Tätigkeitsbereich jede versiche- rungspflichtige Person aufnehmen, ohne ihren Gesundheitszustand zu berücksichtigen. Gesundheits- fragebogen sind verboten (siehe Anhang 6). Da die Versicherer ermächtigt sind, im Beitrittsformular alle Angaben zu verlangen, die für den Beitritt zur obligatorischen Krankenpflegeversicherung oder bei ei- nem Wechsel des Versicherers erforderlich sind (Art. 6a Abs. 1 KVV), ist eine Vollmacht überflüssig. Der Versicherer muss alle benötigten Auskünfte von der versicherten Person selbst erhalten.

3. Vollmacht im Leistungsfall

Gestützt auf Artikel 28 Absatz 3 ATSG und vorbehältlich Artikel 42 Absatz 3 KVG muss sich die Voll- macht immer auf einen bestimmten Leistungsfall beziehen. Im Dokument, das der Versicherer der ver- sicherten Person zur Unterschrift vorliegt, muss ausdrücklich der Versicherungsfall (Krankheit/Unfall, Datum) angegeben sein, für den die Vollmacht verlangt wird. Eine für zukünftige Leistungsfälle ausge- stellte Vollmacht ist nicht gültig.

Die Vollmacht muss das Verhältnismässigkeitsprinzip einhalten: Der Versicherer darf nicht mehr Infor- mationen beschaffen, als er zur Ausübung seiner Aufgaben nach KVAG und KVG benötigt. Ebenso darf er Dritten nicht mehr Daten bekannt geben, als diese tatsächlich benötigen.

Die Vollmacht kann durch die versicherte Person jederzeit widerrufen werden. Diese muss explizit über ihr Widerrufsrecht informiert werden.

In der Vollmacht anzugeben, dass ein Nichtunterschreiben des Dokuments die Einschränkung oder die

Einstellung des Leistungsanspruchs zur Folge hat, ist nicht korrekt. Wenn die versicherte Person sich zu Unrecht weigert, die Vollmacht zu unterschreiben, muss der Versicherer sie schriftlich mahnen, um

Kreisschreiben Nr. 7.1

sie an ihre Mitwirkungspflicht zu erinnern und auf die Rechtsfolgen hinzuweisen. Der Versicherer räumt der versicherten Person eine angemessene Bedenkzeit ein (Art. 43 Abs. 3 ATSG).

4. Einwilligung bei Case Management

Bei Versicherungen mit Case Management (siehe Anhang 5) ist die Menge an Daten, die zwischen dem Versicherer, der die Behandlung steuert, und den Leistungserbringern ausgetauscht werden, grösser als bei anderen Versicherungen. Dafür muss die versicherte Person ihre ausdrückliche Einwilligung geben.

Die versicherte Person muss genau über die Daten, die weitergegeben werden, die Identität des Emp-

fängers und den Zweck des Datenaustauschs informiert werden. Sie muss die Einwilligung ausserdem Jederzeit widerrufen können, und sie muss über dieses Recht informiert sein.

Kreisschreiben Nr. 7.1

Anhang 8: Rechnungsstellung bei einem Vergütungsmodell vom Typus DRG

Art. 42 Abs. 35° KVG / Art.59, 59a KVV und Übergangsbestimmung zur Änderung vom 4. Juli 2012 / Verordnung des ED! vom 20. November 2012 über die Datensätze für die Datenweiter-

gabe zwischen Leistungserbringern und Versicherern / VDSZ

1. Systematische Datenweitergabe

Mit Artikel 42 Absatz 3" KVG wurde der Grundsatz für die systematische Datenweitergabe zwischen Leistungserbringern und Versicherern konkretisiert. Die Datenweitergabe bei einem Vergütungsmodell vom Typus DRG ist mit den Bestimmungen von Art. 59a KVV näher ausgeführt worden. Die Leistungs- erbringer haben auf der Rechnung die Diagnosen und Prozeduren nach den Klassifikationen in den jeweiligen vom zuständigen Departement herausgegebenen schweizerischen Fassungen codiert auf- zuführen.

Damit ein Versicherer die Rechnungen sowie die administrativen und medizinischen Datensätze bei einem Vergütungsmodell vom Typus DRG empfangen darf, muss er zwingend über eine zertifizierte Datenannahmestelle nach Artikel 59a Absatz 6 KVV verfügen.

Das Zertifizierungsverfahren der Datenannahmestelle erfolgt nach Artikel 11 DSG und Artikel 4 VDSZ. Das Zertifikat ist drei Jahre gültig. Der zertifizierte Bereich umfasst alle Datenbearbeitungsverfahren, welche der Erfüllung von Artikel 59a KVV dienen. Das heisst, dass sowohl die elektronischen Datenbe- arbeitungsverfahren als auch der Papierprozess, welche mit der systematischen Weiterleitung der Da- tensätze sowie der Rechnung im Zusammenhang stehen, zertifiziert werden müssen. Werden solche Datenbearbeitungsverfahren von externen Dienstleistern ausgeführt, so sind auch diese zu zertifizieren.

Die Zertifizierungsstelle kann eine Zertifizierung sistieren oder entziehen, wenn schwere Mängel fest- gestelit werden (Art. 9 ff VDSZ). In beiden Fällen wären die Voraussetzungen von Artikel 59a Absatz 6 KVV nicht mehr erfüllt, und die DRG-Rechnungen dürften nicht mehr an den Versicherer übermittelt werden, Der Versicherer könnte auch nicht etwa deren Übermittlung an die Vertrauensärztin oder den Vertrauensarzt verlangen: Die Übermittlung von DRG-Rechnungen an den Vertrauensarzt oder die Ver- trauensärztin ist seit dem 1. Januar 2014 nicht mehr zulässig. Vorbehalten bleiben aufsichtsrechtliche Massnahmen des BAG nach Artikel 37, 38, 39 KVAG und eine strafrechtliche Sanktion nach Artikel 54 Absatz 1 Buchstabe d und Absatz 2 KVAG.

Die Leistungserbringer müssen der Datenannahmestelle des Versicherers die administrativen und me- dizinischen Angaben gleichzeitig mit der Rechnung weiterleiten (Art. 59a Abs. 3 KVV). Damit die admi- nistrativen und medizinischen Datensätze nach einer Triage wieder zusammengeführt werden können, muss der Leistungserbringer sie mit einer Identifikationsnummer versehen (Art. 59a Abs. 1 KVV).

2. Rechnungsinhalt

Nach Artikel 42 Absatz 3°§ KVG i.V.m Artikel 59a Absatz 2 KVV haben die Leistungserbringer Diag- nosen und Prozeduren entsprechend den Klassifikationen für die medizinische Statistik der Kranken- häuser nach Ziffer 62 des Anhangs der Verordnung vom 30. Juni 1993?° über die Durchführung von statistischen Erhebungen des Bundes zu kodieren und kodiert auf der Rechnung aufzuführen.

In Absatz 3 von Artikel 59a KVV wird des Weiteren vorgeschrieben, dass die Leistungserbringer die Datensätze mit den administrativen und medizinischen Angaben nach Artikel 59 Absatz 1 KVV gleich- zeitig mit der Rechnung an die Datenannahmestelle des Versicherers übermitteln müssen. Im selben

2 SR 431.012.1

Kreisschreiben Nr. 7.1

Artikel ist vorgesehen, dass der Versicherer sicherstellen muss, dass nur die Datenannahmestelle Zu- gang zu den medizinischen Angaben erhält.

Die einheitliche Struktur der Datensätze bzw. deren Umfang und Inhalt wird in der Verordnung des EDI vom 20. November 2012 über die Datensätze für die Datenweitergabe zwischen Leistungserbrin- gern und Versicherern vorgegeben.

3. Datenannahmestelle

Die zertifizierte Datenannahmestelle hat die Funktion, eine vollständig automatisierte Triage von Rech- nungen mittels der Rechnungsdaten inklusive der medizinischen und administrativen Angaben durch- zuführen. Die Triage erfolgt durch voreingestellte Parameter, welche der Versicherer festlegt. Die Para- meter müssen so festgelegt werden, dass dem Aspekt der Verhältnismässigkeit im Sinne des DSG Rechnung getragen und anschliessend eine wirksame Rechnungs- und Wirtschaftlichkeitsprüfung er- möglicht wird.

Nach der Durchführung der Triage durch die zertifizierte Datenannahmestelle werden nur diejenigen Rechnungen, die gemäss dem voreingestellten Parameter auffällig waren, an die zuständige Stelle des Versicherers zur vertieften Überprüfung weitergeleitet. Während der Überprüfung durch die zuständige Stelle muss der Datenschutz im Sinne von Artikel 59a!" Absatz 1 KVV stets gewährleistet werden. Bevor die Datenannahmestelle die für die Triage notwendige Auswertung des MCD vornimmt, muss durch die Datenannahmestelle sichergestellt sein, dass das MCD zu einer Rechnung gehört, welche tatsächlich eine beim jeweiligen Versicherer versicherte Person betrifft. Alle unauffälligen Rechnungen werden zur Bezahlung freigegeben, wobei die medizinischen Angaben beim Versicherer verschlüsselt zu archivieren sind. Sofern die medizinischen Angaben nicht verschlüsselt aufbewahrt werden, müssen die Personalien der Versicherten zur Aufbewahrung dieser Angaben pseudonymisiert werden. Der Ver- sicherer muss sicherstellen, dass die Bearbeitung der medizinischen Angaben nach Artikel 59 Absatz

1 KVV datenschutzkonform zu erfolgen hat (Artikel 21 und 22 VDSG).

Alle durch die Datenannahmestelle für eine vertiefte Überprüfung ausgelenkten Rechnungen müssen durch den Versicherer tatsächlich einer vertieften Kontrolle unterzogen werden. Es darf nicht zu einer «Auslenkung auf Vorrat» kommen.

Nach vertiefter Überprüfung der auffälligen Rechnungen müssen die medizinischen Angaben ebenfalls verschlüsselt oder pseudonymisiert archiviert werden.

Nach erfolgter Archivierung kann nur der Vertrauensarzt oder die Vertrauensärztin die Verschlüsse- lung oder Pseudonymisierung aufheben (Art. 59a“ Abs. 2 KVV).

Kreisschreiben Nr. 7.1

Kreisschreiben Nr. 7.1 vom 2015.12.17 | Lexipedia | Lexipedia